Säkerhetsbulletin från Debian

DSA-3481-1 glibc -- säkerhetsuppdatering

Rapporterat den:
2016-02-16
Berörda paket:
glibc
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 812441, Fel 812445, Fel 812455.
I Mitres CVE-förteckning: CVE-2015-7547, CVE-2015-8776, CVE-2015-8778, CVE-2015-8779.
Ytterligare information:

Flera sårbarheter har rättats i GNU's C-bibliotek, glibc.

Den första listade sårbarheten nedan anses ha kritisk inverkan.

  • CVE-2015-7547

    Googles säkerhetsgrupp och Red Hat upptäckte att eglibcs värdnamnsresolverfunktion, getaddrinfo, kunde hantera sina interna buffertar felaktigt vid behandling av AF_UNSPEC-förfrågningar (för dubbla A/AAAA-uppslagningar), vilket kan leda till ett stackbaserat buffertspill och körning av godtycklig kod. Denna sårbarhet påverkar de flesta applikationer som utför uppslag av värdnamn med hjälp av getaddrinfo, inklusive systemtjänster.

  • CVE-2015-8776

    Adam Nielsen upptäckte att om ett ogiltigt sepererat tidsvärde skickas till strftime, kunde strftime-funktionen krascha eller läcka information. Applikationer skickar normalt endast giltig tidsinformation till strftime; inga applikationer som påverkas är kända.

  • CVE-2015-8778

    Szabolcs Nagy rapporterade att de sällan använda funktionerna hcreate och hcreate_r inte kontrollerade storleksargumentet ordentligt, vilket leder till en krasch (överbelastning) för vissa argument. Inga kända påverkade applikationer är kända vid denna tidpunkt.

  • CVE-2015-8779

    Funktionen catopen innehåller flera stackallokeringar utan gränskontroller (stackspill), vilket orsakar den att krascha processen (överbelastning). Inga applikationer är kända vid detta tillfälle där detta problem är ett säkerhetsproblem.

Medan det endast är nödvändigt att säkerställa att alla processer inte använder den gamla eglibc längre, rekommenderas det att starta om maskinerna efter man har applicerat säkerhetsuppdateringen.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 2.19-18+deb8u3.

För den instabila utgåvan (Sid) kommer dessa problem att rättas i version 2.21-8.

Vi rekommenderar att ni uppgraderar era glibc-paket.